Publié le 17 mai 2023 par : M. Latombe, Mme Jacquier-Laforge, M. Martineau, Mme Vichnievsky, M. Zgainski, M. Croizier, M. Turquois, Mme Brocard, M. Bru, M. Cosson, M. Cubertafon, M. Mattei, Mme Desjonquères, M. Esquenet-Goxes, M. Falorni, Mme Ferrari, Mme Folest, M. Fuchs, Mme Gatel, Mme Babault, Mme Bergantz, Mme Perrine Goulet, M. Geismar, M. Gumbs, M. Isaac-Sibille, M. Balanant, Mme Lingemann, M. Daubié, Mme Bannier, M. Blanchet, M. Bolo, M. Bourlanges, Mme Luquet, M. Lecamp, Mme Lasserre, M. Laqhila, Mme Josso, M. Lainé, M. Berta, M. Mandon, Mme Mette, M. Millienne, Mme Morel, M. Ott, M. Pahun, M. Frédéric Petit, Mme Maud Petit, Mme Poueyto, M. Ramos, M. Philippe Vigier.
Après la première phrase de l’alinéa 6, insérer la phrase suivante :
« Ce délai est déterminé en fonction de l’urgence, des risques pour la sécurité nationale et du temps nécessaire aux éditeurs pour prendre les mesures correctives. »
En application des standards internationaux sur la divulgation coordonnée de vulnérabilités, l’Information des utilisateurs doit s’accompagner de mesures de contournement, ou idéalement de correctifs. De manière générale, les doctrines internationales visant à fixer des recommandations en matière de procédures de gestion des vulnérabilités n’imposent pas de délai fixe pour cette raison. En effet, la production de correctifs de sécurité ou l'élaboration de mesures de contournement efficaces sont complexes et peuvent nécessiter du temps. Certaines vulnérabilités peuvent aussi nécessiter une coordination importante (si le produit est intégré dans d’autres produits, etc.). De ce fait, imposer un délai maximum pour prévenir les utilisateurs peut être contre-productif et aboutir à un effet inverse en termes de sécurité des systèmes d’information.
Nous proposons cependant d’indiquer les critères que l’ANSSI prendra en compte pour la détermination du délai.
Aucun commentaire n'a encore été formulé sur cet amendement.